« 会话视图 调查 »
Elastic 文档 Elastic 安全解决方案 [8.14] 云原生安全 针对 VM 的云工作负载保护

捕获环境变量

编辑

捕获环境变量编辑

要求

  • 此功能需要 Elastic Stack 版本 8.6 或更高版本。
  • 在 Elastic Stack 版本 8.6 中,此功能仅适用于 Linux。

您可以配置 Elastic Agent 策略以捕获最多五个环境变量 (env vars)。

  • 环境变量名称不能超过 63 个字符,环境变量值不能超过 1023 个字符。超出此限制的值将被静默忽略。
  • 环境变量名称在 Linux 中区分大小写。

要为 Elastic Agent 策略设置环境变量捕获

  1. 转到 安全 → 管理 → 策略.
  2. 选择一个 Elastic Agent 策略。
  3. 点击 显示高级设置.
  4. 向下滚动或搜索 linux.advanced.capture_env_vars
  5. 输入要捕获的环境变量名称,用逗号分隔。例如:PATH,USER
  6. 点击 保存.
The "linux.advanced.capture_env_vars" advanced agent policy setting

查找捕获的环境变量编辑

捕获的环境变量与进程事件相关联,并出现在每个事件的 process.env_vars 字段中。

要在 事件 表中查看环境变量

  1. 点击 主机网络用户 页面上的 事件 选项卡 (安全 → 探索),然后点击事件表中的 字段.
  2. 搜索 process.env_vars 字段,选择它,然后点击 关闭。将出现一个包含捕获的环境变量数据的新列。
The Events table with the "process.env_vars" column highlighted
« 会话视图 调查 »